Управление журналами собыий в системе

Лабораторная работа №7

Казначеев С.И.

Российский университет дружбы народов, Москва, Россия

10 октября 2025

Информация

Докладчик

:::::::::::::: {.columns align=center} ::: {.column width=“70%”}

  • Казначеев Сергей Ильич
  • Студент
  • Российский университет дружбы народов
  • [1132240693@pfur.ru] ::: ::: {.column width=“30%”}

Цель работы

Получить навыки работы с журналами мониторинга различных событий в системе.

Выполнение лабораторной работы

Для начала откроем три вклдки терминала и в каждом из них получим полномочия администратора

1

Действия во втором терминале

Теперь во второй вкладке пропишем команду tail -f /var/log/messages чтобы вывести события в реальном времени.После чего перейдем в 3 терминал и попробуем зайти в супер пользователя введя неправильный пароль и у нас во 2 терминале появится сообщение «FAILED SU (to root) username …».

2

Действия в третьем терминале

После в 3 терминале введем из оболочки пользователя logger hello

3

Проверка действий

Далее открываем второй терминал и проверям то что hello записалось

4

Проверка сообщений

Затем введем команду tail -n 20 /var/log/secure чтобы увидить сообщения, которые ранее были зафиксированы во время ошибки

5

Установка нового пакета

В первой вкладке установим httpd

6

Запуск веб-служб

После окончания процесса установки запустим веб-службу

7

Работа во втором терминале

После во второй вкладке терминала посмотрим журнал сообщений об ошибках веб-служб командой tail -f /var/log/httpd/error_log

8

Работа в третьем терминале

Далее в 3 терминале запишем в файл конфигурации /etc/httpd/conf/httpd.conf в конце добавим ErrorLog syslog:local1

9

Создание нового файла

После чего переходим в каталог /etc/rsyslog.d и создаем файл мониторинга событий веб-службы

10

Редактируем его

Далее открыв его на редактировании запишем local1.* -/var/log/httpd-error.log

11

Работа в первом терминале

После чего переходим в первую вкладку терминала и перезагружаем концигурацию rsyslogd и веб-службу

12

Работа в третьей вкладке

После в третьей вкладке терминала создайем отдельный файл концигурации для мониторинга отладочной информации и в том же терминале вводим echo “*.debug /var/log/messages-debug” > /etc/rsyslog.d/debug.conf

13

Работа в первом терминале

Затем в первой вкладке терминала снова перезапускаем rsyslogd

14

Работа во второй вкладке

Далее переходим во вторую вкладку терминала запускаем мониторинг отладочной информации tail -f /var/log/messages-debug

15

Работа в третьей вкладке

Далее в третьей вкладке терминала введем logger -p daemon.debug “Daemon Debug Message”

16

Проверка действий

Проверим это

17

Работа во второй вкладке

Во второй вкладке терминала посмотрим содержимое журнала с событиями с момента последнего запуска системы

18

Просмотр содержимого журнала

Затем просмотрим содержимое журнала без использования пейджера командой journalctl –no-pager и просмотрим журнал в реальном времени journalctl -f

19

Фильтрация просмотра

После чего используем фильтрацию просмотра конкретных параметров журнала введя команду journalctl и дважды нажав на tab

20

Проверка событий uid0

Пробуем просмотреть события для uid0

21

Запуск journalctl

После чего запустим journalctl -n 20 для просмотра только сообщений об ошибке используем комаду journalctl -p err

22

Просмотр сообщейний

Теперь просмотрим сообщейния вчерашнего дня введя команду journalctl –since yesterday

23

Вывод сообщейний с ошибкой

Затем выведем все сообщения с ошибкой приоритета которые были зафиксированы со вчерашнего дня

24

Вывод информации

Затем выведем детальную информацию с помощью команды journalctl -o verbose

25

Просмотр дополнительной информации

Далее просмотрим дополнительную информацию о модуле sshd введя команду journalctl _SYSTEMD_UNIT=sshd.service

26

Действия в новом терминале

После чего откроем новый терминла и создадим новый каталог и скорректируем его права доступа для каталога /var/log/journal, чтобы journald смог записывать в него информацию и для принятия изменений необходимо перезагрузить систему или использовать команду killall SR1 systemd-journald

27

Проверка журнала

Теперь журнал systemd теперь постоянный и можем проверить это командой journalctl -b

27

Контрольный вопрос 1

  1. Какой файл используется для настройки rsyslogd?

Ответ - файл /etc/rsyslog.conf

Контрольный вопрос 2

  1. В каком файле журнала rsyslogd содержатся сообщения, связанные с аутентификацией?

Ответ - файл журнала айнтефекации /var/log/auth.log

Контрольный вопрос 3

  1. Если вы ничего не настроите, то сколько времени потребуется для ротации файлов журналов?

Ответ - период ротации журналов по умолчанию раз в неделю

Контрольный вопрос 4

  1. Какую строку следует добавить в конфигурацию для записи всех сообщений с приоритетом info в файл /var/log/messages.info?

Ответ - строку /var/log/message.info

Контрольный вопрос 5

  1. Какая команда позволяет вам видеть сообщения журнала в режиме реального времени?

Ответ - команда tail -f /var/log/syslog

Контрольный вопрос 6

  1. Какая команда позволяет вам видеть все сообщения журнала, которые были написаны для PID 1 между 9:00 и 15:00?

Ответ - команада journalctl _PID=1 –since “9:00” –until “15:00”

Контрольный вопрос 7

  1. Какая команда позволяет вам видеть сообщения journald после последней перезагрузки системы?

Ответ - команда journalctl -b

Контрольный вопрос 8

  1. Какая процедура позволяет сделать журнал journald постоянным?

Ответ - команда создать каталог и перезапустить службу mkdir -p /var/log/journal systemctl restart systemd-journald

Вывод

В результате выполнения лабораторной работы я получил навыки работы с журналами мониторинга различных событий в системе